ТВ сат клуб

Попри те, що форуми містили деякі обговорення етичного хакінгу, Cracked і Nulled головним чином функціонували як торгівельні майданчики для кіберзлочинців. Платформи надавали доступ до інструментів зламу, включаючи експлойти на основі штучного інтелекту та сканери вразливостей, “конфіги” для атак із використанням вкрадених облікових даних, що дозволяли проводити масові атаки методом перебору паролів, “комбо-листи” з викраденими іменами користувачів і паролями, а також шкідливе ПЗ, експлойти та зламане програмне забезпечення. Європол назвав ці форуми “універсальними майданчиками” для кіберзлочинів, де вони купували та продавали вкрадені дані, шкідливі програми та хакерські послуги.


В операції брали участь правоохоронні органи США, Італії, Іспанії, Франції, Греції, Австралії та Румунії. Під час рейдів було проведено обшуки у семи приміщеннях у різних країнах, вилучено понад 50 електронних пристроїв для судово-криміналістичної експертизи, конфісковано 300 000 євро готівкою та в криптовалюті, а також відключено 12 доменів, пов’язаних із платформами. Серед закритих сервісів були SellIX — фінансовий процесор, який використовувався для кіберзлочинних транзакцій, та StarkRDP — хостинг-провайдер Windows RDP, який рекламувався на форумах.

У рамках операції ФБР вилучило кілька доменів, зокрема cracked[.]io, nulled[.]to, starkrdp[.]io, mysellix[.]io та sellix[.]io. Агентство перенаправило домени на сторінки з повідомленнями про вилучення, розміщені на серверах, що перебувають під контролем ФБР. На захоплених сайтах з’явилося оголошення: “Цей вебсайт, а також інформація про клієнтів і жертв сайту були вилучені міжнародними правоохоронними партнерами”.

Bundeskriminalamt (BKA), Федеральне кримінальне управління Німеччини, підтвердило, що серед конфіскованих даних є адреси електронної пошти, IP-адреси та журнали спілкування користувачів форумів, які будуть використані для подальших міжнародних розслідувань. Двох заарештованих підозрюваних затримала Національна поліція Іспанії у Валенсії. Адміністрація Cracked.io підтвердила закриття в заяві на Telegram: “Тепер, коли всі мають більше ясності щодо ситуації, Cracked.io було вилучено в рамках операції Talent, конкретні причини поки не розкриваються. Дійсно сумний день для нашої спільноти”.

Ліквідація Cracked і Nulled стала однією з найбільших міжнародних операцій із припинення діяльності кіберзлочинних форумів останніх років і, ймовірно, суттєво вплине на підпільну хакерську спільноту.

По мнению экспертов компании, злоумышленник атаковал низкоквалифицированных хакеров (script kiddies – «кулхацкеров») с использованием поддельного билдера, или компилятора, вредоносной программы XWorm RAT. Это троянец для обеспечения удаленного доступа.

Жертвы очевидно мало смыслят в кибербезопасности и попросту скачивают что попало – вредоносы, рекламируемые через всякие сетевые ресурсы.


Устройства хакеров были заражены с помощью троянца, замаскированного под инструмент для создания вредоносных программ

Троянизированный XWorm RAT распространялся через репозитории GitHub, платформы файлового хостинга, каналы в Telegram и видео на Youtube. Во всех этих ресурсах троянизированный компилятор подавался как средство создания RAT-программ, за которые не надо платить. Попав на устройство жертвы, эта программа проверяет систему на предмет признаков виртуализации или отладочной среды. Если обнаруживаются свидетельствующие об этом процессы, программа прекращает функционировать. Если же система оказывается самой обычной, то вредонос вносит в системный реестр изменения, позволяющие ему перезапускаться после каждой перезагрузки. Зараженная система также регистрируется в командном сервере, базирующемся на платформе Telegram. Для этого используется фиксированный идентификатор и токен Telegram-бота.

Далее вредонос автоматически крадет токены Discord, сведения о системе, по IP-адресу определяет ее физическое месторасположение, отправляет всю эту информацию на контрольный сервер и ждет дополнительных команд от оператора. Всего поддерживается 56 команд: вредонос может попытаться выкрасть пароли, файлы cookie и информацию для автозаполнения форм из веб-браузера. Кроме того, он умеет перехватывать нажатия клавиш, делать скриншоты, останавливать определенные процессы (в том числе связанные с защитным ПО), выводить файлы определенных типов из системы. Вариант с самоудалением также предполагается. Самой же опасной, пожалуй, является способность шифровать любые файлы с использованием присланного с контрольного сервера пароля.

Недобитый ботнет

Эксперты CloudSEK обнаружили, что операторы вредоноса вывели данные приблизительно из 11% зараженных устройств.

Исследователям удалось нейтрализовать оформившийся ботнет с помощью фиксированных API-токенов в коде вредоноса, что обеспечило им возможность массово разослать циклическую команду на самоудаление по всем машинам, подключенным на тот момент к Сети, сопровождавшуюся перебором идентификаторов, извлеченных из логов Telegram.

Как отмечается в публикации, исследователи провели также брут-форс всех идентификаторов с 1 по 9999, используя простой численный паттерн. Это позволило нейтрализовать только часть ботнета, поскольку, во-первых, не все машины были онлайн в момент запуска команды, а во-вторых, алгоритмы Telegram ограничивают массовые рассылки, так что некоторые сообщения могли не дойти.

«Хакеры активно атакуют друг друга, это известно давно, – отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. – Ни о какой «цеховой солидарности» речи тут не идет, если есть, что украсть, попытки это сделать будут предприняты».

Эксперт добавил, что в данном случае оператор всей этой кампании мог действовать в том числе из желания проучить «хакеров-недоучек», хотя масштабы кампании и усилия по распространению вредоноса свидетельствуют о том, что ее оператор или операторы имели скорее практические цели.

В число клонированных и изменённых хакерами репозиториев вошли такие проекты как Codementor, CoinProperty, Web3 E-Store, менеджер паролей на основе Python, а также другие приложения, связанные с криптовалютой и web3, рассказали в SecurityScorecard. Когда жертва неосознанно загружала и устанавливала такое приложение-форк, на его машину также устанавливался бэкдор, позволяющий злоумышленникам подключаться к ней, похищать конфиденциальные данные и отправлять их на свои ресурсы. Участвующие в схеме Phantom Circuit управляющие (C2) серверы Lazarus Group, как выяснилось, начали работу ещё в сентябре — они использовались для связи с заражёнными системами, доставки вредносного ПО и копирования украденных данных. Экспертам так и не удалось выяснить, «как обрабатывались извлечённые данные, и какая инфраструктура использовалась для управления этим серверами».

Эксперты обнаружили скрытую административную систему, размещённую на каждом сервере — она обеспечивала централизованное управление атакой; система была написана с на основе React и Node.js. Чтобы скрыть происхождение кампании, хакеры Lazarus Group применяли многослойную обфускацию. Чтобы скрыть географическое происхождение, использовался VPN, а на прокси-уровне вредоносная активность смешивалась с безобидным сетевым трафиком. Серверы размещались в инфраструктуре Stark Industries — специалисты SecurityScorecard установили, что к ним подключались не менее чем с шести северокорейских адресов, один из которых ранее был связан с атаками Lazarus на платформу Codementor. Похищенные данные выгружались в облачное хранилище Dropbox.